FileZillaでパスワード保存する運用方法は危険! ウイルス感染被害対策は?

FTPソフト FFFTP の代わりとして FileZilla の利用を勧めるブログ記事を見かけるけど、正規サイトが悪意のある第三者にハッキングされる騒動 Gumblar(ガンブラー) などの影響で
  • FFFTP → 危険
  • FileZilla → 安全
という 誤った認識 で書かれた記事も見かけます?

実は、運用方法によっては FileZilla の方が超危険 です。

Gumblarウイルスは FileZilla もパスワードも盗む!

Gumblar(ガンブラー)騒動で感染するウイルスは FFFTP のみならず 
  • ALFTP
  • WinSCP
  • SmartFTP
  • FileZilla
    など 
といったよく知られた複数の主要な FTPソフト が攻撃対象になっていて、何も FFFTP だけ回避すれば安全というお話でもないのです。

【セキュリティ ニュース】 「FFFTP」だけじゃない、Gumblar攻撃の対象FTPソフトは多数 - SCPやSFTP利用でも影響 (Security NEXT)
http://www.security-next.com/011966

基本的にほぼ日本人ユーザーしかいないであろう FFFTP と比べて、世界的に有名なフリーソフト FileZilla は 情報を盗みとる機能を持ったマルウェアの数量にも差 もあります。

たとえば、マイクロソフトが提供する Microsoft Malware Protection Center 内でキーワード検索すると(記事投稿時点で)次のようなヒット数です。

○ FFFTP … 約15件
○ FileZilla … 約350件

FileZilla は設定ファイルにパスワードを生身で保存

FileZilla を使用する場合、ホームページのFTPアカウントのうち パスワード をゼッタイに保存してはいけません。

というのも、パスワードの文字列は何ら変換処理(暗号化など)も施されないまま生身の状態で設定ファイルに保存する からです。

逆に FFFTP は マスターパスワード機能 をサポートし、(暗号化された)パスワードをレジストリから抜き取られても、元のパスワード文字列へ戻せないので悪用されるリスクを確実に回避できる仕組みになってます。


<2015年5月 追記...>

FileZilla は生身のパスワード文字列のまま設定ファイルに出力することはせず、新たに Base64 でエンコード変換したものを保存するよう改良されました。



<2017年6月 追記...>

FileZilla がバージョン3.26.0にてマスターパスワード機能をサポートし、この機能を使用すれば設定ファイルにパスワードを生身で保存するヤバすぎる仕様は回避できるようになりました。

イメージ 1
設定 → インターフェイス → Passwords

【FileZillaのNEWSファイルより】
3.26.0-rc1 (2017-05-25)
+ Passwords can now be stored encrypted, protected with a master password

指定できるパスワードは8文字以上です。
関連するブログ記事
タグ :
フリーソフト